Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7

Відомості про проблеми системи безпеки, які усунено в оновленні macOS Sequoia 15.7.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски оновлень безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

macOS Sequoia 15.7

Archive Utility

Цільові продукти: macOS Sequoia

Вплив: програма може обходити параметри приватності.

Опис: проблему усунено завдяки поліпшенню перевірки символьних посилань.

CVE-2025-43288: Rodolphe BRUNETTI (@eisw0lf) з Lupus Nova

AMD

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43312: ABC Research s.r.o.

AppKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено завдяки блокуванню запуску непідписаних служб на комп’ютерах Mac на базі процесора Intel.

CVE-2025-43321: Mickey Jin (@patch1t)

Apple Online Store Kit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-31268: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji

AppSandbox

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43285: Zhongquan Li (@Guluisacat), Mickey Jin (@patch1t)

ATS

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему усунуто завдяки видаленню вразливого коду.

CVE-2025-43330: Bilal Siddiqui

Call History

Цільові продукти: macOS Sequoia

Вплив: програма може знімати відбитки пальців користувача.

Опис: проблему усунено завдяки вдосконаленню редагування приватної інформації.

CVE-2025-43357: Rosyna Keller з Totally Not Malicious Software, Guilherme Rambo з Best Buddy Apps (rambo.codes)

CoreAudio

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого відеофайлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему записування за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43349: користувач @zlluny, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative

CoreMedia

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43292: Csaba Fitzl (@theevilbit) і Nolan Astrein із Kandji

CoreServices

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може отримувати доступ до приватної інформації.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43305: анонімний дослідник, Mickey Jin (@patch1t)

CoreServices

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43290: Zhongcheng Li з відділу IES Red компанії ByteDance

CoreServices

Цільові продукти: macOS Sequoia

Вплив: шкідлива програма може отримувати доступ до приватних даних користувача.

Опис: проблему з логікою вирішено завдяки поліпшенню перевірки.

CVE-2025-43289: Matej Moravec (@MacejkoMoravec), користувач Kirin (@Pwnrin)

Crash Reporter

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-46284: анонімний дослідник

dyld

Цільові продукти: macOS Sequoia

Вплив: відвідування вебсайту може призвести до відмови в роботі програми.

Опис: проблему відмови в обслуговуванні вирішено завдяки поліпшенню перевірки вводу.

CVE-2025-43464: Duy Trần (@khanhduytran0), @EthanArbuckle

FaceTime

Цільові продукти: macOS Sequoia

Вплив: вхідні виклики FaceTime можуть з’являтись або прийматися на замкненому пристрої macOS, навіть якщо сповіщення на замкненому екрані вимкнено.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2025-31271: Shantanu Thakur

GPU Drivers

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему із читанням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43326: Wang Yu із CyberServal

IOHIDFamily

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43302: Keisuke Hosoda

IOKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з авторизацією вирішено завдяки вдосконаленню керування станами.

CVE-2025-31255: Csaba Fitzl (@theevilbit) з Kandji

Kernel

Цільові продукти: macOS Sequoia

Вплив: серверний сокет UDP, прив’язаний до локального інтерфейсу, може стати прив’язаним до всіх інтерфейсів.

Опис: проблему з логікою вирішено завдяки вдосконаленню керування станами.

CVE-2025-43359: Viktor Oreshkin

Kernel

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з правильністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-43345: Mickey Jin (@patch1t)

libc

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему відмови в обслуговуванні вирішено завдяки вдосконаленню перевірки.

CVE-2025-43299: Nathaniel Oh (@calysteon)

CVE-2025-43295: Nathaniel Oh (@calysteon)

Libinfo

Цільові продукти: macOS Sequoia

Вплив: обробка шкідливого рядка може призводити до пошкодження динамічної пам’яті.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2025-43353: Nathaniel Oh (@calysteon)

MediaLibrary

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему усунуто завдяки видаленню вразливого коду.

CVE-2025-43319: Hikerell (Loadshine Lab)

MigrationKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему усунуто завдяки видаленню вразливого коду.

CVE-2025-43315: Rodolphe Brunetti (@eisw0lf) з Lupus Nova

MobileStorageMounter

Цільові продукти: macOS Sequoia

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2025-43355: Dawuge із Shuffle Team

NetFSFramework

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2025-43364: Csaba Fitzl (@theevilbit) з Kandji

Notification Center

Цільові продукти: macOS Sequoia

Вплив: програма може отримати доступ до контактної інформації, пов’язаної з повідомленнями в Центрі сповіщень.

Опис: проблему з приватністю вирішено завдяки вдосконаленню маскування приватних даних для записів журналу.

CVE-2025-43301: LFY@secsys із Фуданського університету

PackageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43298: анонімний дослідник

Perl

Цільові продукти: macOS Sequoia

Вплив: виявлено кілька проблем у Perl.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2025-40909

Phone

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з входом вирішено завдяки вдосконаленню компонування вхідних даних.

CVE-2025-43508: Wojciech Regula із SecuRing (wojciechregula.blog)

Ruby

Цільові продукти: macOS Sequoia

Вплив: обробка файлу може викликати відмову в обслуговуванні або розкрити вміст пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-27280

Screenshots

Цільові продукти: macOS Sequoia

Вплив: програма може робити знімок екрана під часу входу в повноекранний режим або виходу з нього.

Опис: проблему з приватністю вирішено завдяки вдосконаленню перевірок.

CVE-2025-31259: анонімний дослідник

Security Initialization

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему обходу карантину файлів вирішено завдяки додатковим перевіркам.

CVE-2025-43332: анонімний дослідник

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню перевірки вводу.

CVE-2025-43293: анонімний дослідник

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може змінювати захищені частини файлової системи.

Опис: проблему з дозволами вирішено завдяки видаленню вразливого коду.

CVE-2025-43291: Ye Zhang із Baidu Security

SharedFileList

Цільові продукти: macOS Sequoia

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2025-43286: користувачі pattern-f (@pattern_F_) і @zlluny

Shortcuts

Цільові продукти: macOS Sequoia

Вплив: певна команда в ізольованому програмному середовищі може обходити обмеження цього середовища.

Опис: проблему з дозволами вирішено завдяки застосуванню додаткових обмежень ізольованого програмного середовища.

CVE-2025-43358: 정답이 아닌 해답

Spell Check

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43190: Noah Gregory (wts.dev)

Spotlight

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-24197: Rodolphe Brunetti (@eisw0lf) з Lupus Nova

StorageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з аналізом під час обробки шляхів до каталогів вирішено завдяки вдосконаленню перевірки шляхів.

CVE-2025-43314: Mickey Jin (@patch1t)

StorageKit

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати права кореневого користувача.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню керування станами.

CVE-2025-43304: Mickey Jin (@patch1t)

StorageKit

Цільові продукти: macOS Sequoia

Вплив: зловмисна програма може підвищувати рівень привілеїв до кореневого користувача.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2025-43306: Mickey Jin (@patch1t)

Touch Bar

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до захищених даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43311: анонімний дослідник, Justin Elliot Fu

Touch Bar Controls

Цільові продукти: macOS Sequoia

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки додатковим перевіркам прав.

CVE-2025-43308: анонімний дослідник

WindowServer

Цільові продукти: macOS Sequoia

Вплив: програма може обманом змусити користувача скопіювати приватні дані в буфер обміну.

Опис: проблему з конфігурацією вирішено шляхом додаткових обмежень.

CVE-2025-43310: анонімний дослідник

Додаткова подяка

Airport

Дякуємо за допомогу користувачу Csaba Fitzl (@theevilbit) з Kandji.

ImageIO

Дякуємо за допомогу користувачам DongJun Kim (@smlijun) і JongSeong Kim (@nevul37) з Enki WhiteHat.

libpthread

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

libxml2

Дякуємо за допомогу користувачу Nathaniel Oh (@calysteon).

SharedFileList

Дякуємо за допомогу користувачу Ye Zhang із Baidu Security.

Wi-Fi

Дякуємо за допомогу користувачам Csaba Fitzl (@theevilbit) з Kandji, Noah Gregory (wts.dev), Wojciech Regula із SecuRing (wojciechregula.blog) і анонімному досліднику.

WindowServer

Дякуємо за допомогу анонімному досліднику.